JP4259183B2 - 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 - Google Patents
情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 Download PDFInfo
- Publication number
- JP4259183B2 JP4259183B2 JP2003151606A JP2003151606A JP4259183B2 JP 4259183 B2 JP4259183 B2 JP 4259183B2 JP 2003151606 A JP2003151606 A JP 2003151606A JP 2003151606 A JP2003151606 A JP 2003151606A JP 4259183 B2 JP4259183 B2 JP 4259183B2
- Authority
- JP
- Japan
- Prior art keywords
- information processing
- side network
- network
- traffic
- processing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
【0001】
【発明の属する技術分野】
この発明は、情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法に関する。
【0002】
【従来の技術】
IT関連技術の発達に伴い、コンピュータを用いて構築される情報処理システムは広く社会に浸透している。そして、情報処理システムの多くはインターネット等の広域ネットワークに接続されており、これらネットワークを通じて行われる不正アクセスが問題となっている。昨今では、インターネットの開放相互接続性や脆弱性を突いた不正アクセスが頻発しており、企業活動や日常生活に多大な影響を与えている。サイバーテロ等にあっては国家的なインフラ基盤を揺るがしかねない。
【0003】
ネットワークを通じて行われる不正アクセスから情報処理装置を防御するための仕組みとして、例えば、外部ネットワークとの接点に自律システム(Autonomos System)としてファイアウォールを設置することが行われている。ファイアウォールは、パケットフィルタリングにより不正アクセスを防止する。また、ファイアウォールをすり抜けてネットワーク内に侵入した不正アクセスを監視する仕組みとして、IDS(侵入検知システム(Intrusion Detection System))が知られている。IDSは、一般的にシステムの変更内容やネットワーク上を流れるパケットの内容を解析することにより、ネットワーク内を流れる異常なパケットを検出する。
【0004】
昨今では、大量のデータや不正なパケットを送信し、その結果、コンピュータやネットワークの資源を枯渇させてシステム障害やネットワーク障害を生じせしめる、いわゆるDoS(Denial of Service)攻撃や、このような攻撃を複数の送信元から行うDDoS(Distributed denial of Service)攻撃等が問題となっている。このような攻撃からコンピュータシステムを防御する仕組みとして、例えば、トラフィックの異常を検知すると、防御プログラムを攻撃元に近い位置に移動させ、移動させた防御プログラムが攻撃に関するデータの通信を制限することによりDDoS攻撃から防御する仕組みが提案されている(例えば、非特許文献1を参照)。
【0005】
【非特許文献1】
“攻撃元にまで攻め上がりながらネットワーク全体を防御するDDoS攻撃対策システム「Moving Firewall」を開発”、[online]、平成15年2月18日、日本電信電話株式会社、[平成15年5月22日検索]、インターネット<http://www.ntt.co.jp/news/news03/0302/030218.html>
【0006】
【発明が解決しようとする課題】
ところで、上述のDoS攻撃やDDoS攻撃は、不正に送信されたデータパケットそのものは正常なデータパケットであることが多く、データパケットの中身を解析することにより不正の存在を検出する従来の一般的な仕組みでは、不正アクセスの存在を検出することができない。そこで、このような種類の攻撃を確実に検出するための仕組みの開発が求められている。また、不正アクセスが検出された場合には、その被害をできる限り最小限に抑えるために、不正アクセスが検出された旨をその攻撃対象となりうる装置に迅速かつ確実に通知する仕組みが求められる。
【0007】
この発明はこのような事情に鑑みてなされたもので、通信ネットワークにおいて生じている不正アクセスに対して迅速かつ確実な防御を可能とする、情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法を提供することを目的とする。
【0008】
【課題を解決するための手段】
上記目的を達成する本発明の主たる発明は、インターネットに接続しているプロバイダ側ネットワークと、前記インターネット又は前記プロバイダ側ネットワークを流れるトラフィックを監視する第1の情報処理装置と、前記プロバイダ側ネットワークに通信ネットワークを介して接続しているユーザ側ネットワークと、当該ユーザ側ネットワークに接続している第2の情報処理装置と、前記第1及び第2の情報処理装置を接続する、前記通信ネットワークとは異なる通信経路と、を備えて構成され、前記第1の情報処理装置が、前記インターネット又は前記プロバイダ側ネットワークを流れるトラフィックが所定量を超えていることを検知した場合に、その旨を前記異なる通信経路を介して、前記ユーザ側ネットワークに接続している前記第2の情報処理装置に通知する手段を備え、前記第2の情報処理装置が、前記第1の情報処理装置から前記通知を受けた場合に、前記インターネット又は前記プロバイダ側ネットワークを介して前記ユーザ側ネットワークに送信されてくる全部もしくは一部のデータを受信しないように制御する手段を備えることを特徴とする情報処理システムである。
この場合に、前記インターネット又は前記プロバイダ側ネットワークを流れるトラフィックには、前記ユーザ側ネットワークを送信先としないデータパケットが含まれていることとすることができる。
【0009】
前記第1の情報処理装置とは、例えば、後述するプロバイダ側ネットワークに接続している監視装置101である。前記第2の情報処理装置とは、例えば、後述するユーザ側ネットワークに接続している異常情報受信装置201である。
前記の異なる通信経路とは、後述する通信経路500であり、例えば、専用線、ISDN網、公衆電話網、光パスネットワーク等である。前記トラフィックの監視とは、例えば、DoS攻撃やDDoS攻撃等により、通常の通信では想定されないような異常な量のトラフィックが流れていないかどうか、通常の通信では設定されない送信元情報や送信先情報を含んでいないかどうか、といったことを調べることである。
また、前記全部もしくは一部のデータを受信しないように制御する手段とは、例えば、第2の情報処理装置において特定の送信元が設定されているデータパケットのみを受信しないようにすることや、経路制御装置の設定変更により全部もしくは一部のデータパケットを通過させないようにすることである。
【0010】
この発明によれば、第1の情報処理装置において検知したインターネット又はプロバイダ側ネットワークにおけるトラフィックの異常を、前記通信ネットワークとは異なる通信経路を介してユーザ側ネットワークの第2の情報処理装置に通知する。すなわち、前記インターネット又は前記プロバイダ側ネットワークのトラフィックに異常がある場合には、故障やトラフィックの渋滞により前記通信ネットワークを介して第2の情報処理装置に前記異常が生じていることを通知することができないか、もしくは、通知することはできても迅速に通知することができない場合があるが、本発明では、前記通信ネットワークとは異なる通信経路で前記異常が生じていることを通知するので、第1の情報処理装置から第2の情報処理装置に迅速かつ確実に前記通知を行うことができる。これにより第2の情報処理装置は、前記インターネット又は前記プロバイダ側ネットワークに生じている異常に対する対応(例えば、ルータの経路設定変更によるパケット受信制限等)を迅速に行うことができる。
【0011】
また、通常、インターネット等の通信ネットワークにおけるパケット網を経由した情報転送等においては、伝搬遅延に加えてネットワーク機器での蓄積・情報処理数により数10msから数100msの遅延が発生する。従って、このような理由により、インターネット又はプロバイダ側ネットワークの異常の影響が第2の情報処理装置が接続されているユーザ側ネットワークに波及する前に前記異なる通信経路を介して先回りして第2の情報処理装置に前記通知が行われる場合には、前記異常の影響がユーザ側ネットワークに及ぶ前に防御策を講じることができるので、前記インターネット又は前記プロバイダ側ネットワークで生じている異常からユーザ側ネットワークを守ることができる。
【0015】
本発明の他の態様は、前記情報処理システムにおいて、前記第1の情報処理装置が前記インターネット又は前記プロバイダ側ネットワークを流れるトラフィックを監視する手段は、前記インターネット又は前記プロバイダ側ネットワークを流れる前記第2の情報処理装置に向けて送信されるトラフィックの増加率が閾値を超えていることを検知した場合に、前記トラフィックの時間的な変化のパターンと、記憶しているトラフィックの時間的な変化のパターンとの類似度を求め、前記類似度に応じて前記トラフィックに異常があることを示す情報を出力することとする。
【0016】
例えば、DoS攻撃等によって生じた通信ネットワークにおける通信状態の異常を検知する方法として、例えば、トラフィックの増加率が急増したことを利用することが考えられる。しかしながら、例えば、ビデオデータなどのデータサイズの大きなデータが流れる場合もあるため、トラフィックの増加率が急増したことのみをもって異常であると判断すると、誤検知する確率が高く、トラフィックの増加率が急増したことのみをもって異常と判断する方法は必ずしも適策とは言えない。
一方、インターネット又はプロバイダ側ネットワークを流れるトラフィックの異常を検知する他の方法として、トラフィックの時間的な変化のパターンと、記憶しているトラフィックの時間的な変化のパターンとの類似度を求め、この類似度により通信ネットワークにおけるトラフィックに異常が生じているかどうかを判断する方法が考えられる。しかしながら、この方法ではリアルタイムに類似度を求める必要があるため、処理負荷が大きくなりやすいという問題がある。
【0017】
本発明は、上記2つの方法を組み合わせてトラフィックの異常を検知するようにしたものである。すなわち、前記インターネット又は前記プロバイダ側ネットワークを流れる前記第2の情報処理装置に向けて送信されるトラフィックの増加率が閾値を超えていることを検知した場合に、前記トラフィックの時間的な変化のパターンと、記憶しているトラフィックの時間的な変化のパターンとの類似度を求め、前記類似度に応じて前記トラフィックに異常があるかどうかを判断する。
このように、上記2つの方法を組み合わせることで、誤検知を減らしてより確実にトラフィックの異常を検知することができる。また、この方法では、類似度を求める処理が、前記インターネット又は前記プロバイダ側ネットワークを流れる前記第2の情報処理装置に向けて送信されるトラフィックの増加率が閾値を超えていることを検知した場合にのみ行われる。このため、必要な場合にのみ類似度を求める処理が実行され、無駄に処理負荷を増大させることがない。
【0018】
本発明の他の態様は、前記情報処理システムにおいて、前記トラフィックの異常は前記通信ネットワークにおいて行われる不正アクセスに起因して生じたものであり、前記第1の情報処理装置は、前記トラフィックの時間的な変化のパターンとして不正アクセスの種類に対応する一つ以上のトラフィックの時間的な変化のパターンを記憶しており、前記トラフィックの時間的な変化のパターンと、前記記憶している一つ以上の変化のパターンの夫々との類似度に基づいて、不正アクセスの種類を判別する手段を備えることとする。
【0019】
前記不正アクセスの種類としては、例えば、ICMP攻撃、UDP攻撃、SYN−Flood攻撃がある。このような不正アクセスの夫々に応じた前記トラフィックの時間的な変化のパターンを記憶しておき、通信ネットワークにおける前記トラフィックの時間的な変化のパターンと前記記憶している一つ以上の変化のパターンの夫々との類似度に基づいて、不正アクセスの種類を判別する。このように不正アクセスの種類が判別されることで、不正アクセスの種類に応じて適切な防御策を講じることができる。なお、記憶しておく前記トラフィックの時間的な変化のパターンは、前記第1の情報処理装置が過去に取得したトラフィックに基づいて自動的にデータベースに登録するように(自動学習機能)することもできる。
【0020】
本発明の他の態様は、前記情報処理システムにおいて、前記第1の情報処理装置による前記第2の情報処理装置への通知が、不正なデータパケットを送信している送信元アドレス、又は不正データパケットのパケットタイプを含むこととする。これにより、例えば、インターネット又はプロバイダ側ネットワークからユーザ側ネットワークに対して行われる攻撃から、ユーザ側ネットワークに接続している情報処理装置が防御される。
【0021】
また、他の発明では、前記情報処理システムにおいて、前記通信経路は、前記通信ネットワークにおける通信より高速な通信が可能な通信経路であることとする。
すなわち、前記通信経路を、前記通信ネットワークにおける通信より高速な通信が可能な通信経路(例えば、高速専用ネットワーク)とすれば、通信ネットワークの異常の影響が第2の情報処理装置に波及する前に前記通信経路を介して先回りして第2の情報処理装置に前記通知が行われ、前記異常の影響が第2の情報処理装置に及ぶ前に防御策を講じることができ、前記通信ネットワークで生じている異常から第2の情報処理装置をより確実に守ることができる。
【0022】
本発明の他の態様は、前記情報処理システムにおいて、前記通信ネットワークに、複数の前記第1の情報処理装置を前記通信ネットワーク上に分散させて接続することとする。
例えばインターネット等の広域ネットワークにおいては、不正アクセス等により生じる通信ネットワークの通信状態の異常は、広域ネットワークの一部において局所的に発生する。従って、広域ネットワークに前記第1の情報処理装置が異常が発生した位置から遠い(例えば送信元から送信先までの距離が長かったり中継点が多い等の理由により、データパケットの到達時間が長い)場合には、前記異常が発生してからそれが前記第1の情報処理装置に検知されるまでにタイムラグが生じてしまう。そこで、上記発明のように、通信ネットワークには、複数の前記第1の情報処理装置を接続するように、つまり、通信ネットワークにネットワークトラフィックセンサを分散配置することで、異常が発生した位置から近い位置に前記第1の情報処理装置が存在している可能性が高くなり、上記タイムラグを短縮化させることができる。
【0023】
その他、本願が開示する課題、及びその解決方法は、発明の実施の形態の欄、及び図面によって明らかにされる。
【0024】
【発明の実施の形態】
以下、本発明の実施の形態について図面を用いて詳細に説明する。
図1に本発明の一実施例として説明する情報処理システムの全体構成を示している。この情報処理システムは、インターネットサービスプロバイダ(ISP:Internet Service Provider)が、ユーザサービスの提供等の目的で運用しているプロバイダ側ネットワーク100と、このプロバイダと契約しこのプロバイダの設備を利用してインターネットに接続しているユーザ(図1においては企業A)側に設けられるユーザ側ネットワーク200との関係で構築されるものである。
【0025】
プロバイダは、インターネット300とユーザ側ネットワーク200との接続を仲介するサービスを行っている。プロバイダ側ネットワーク100は、直接に、もしくは、当該プロバイダ自身もしくは他のプロバイダが運用するインターネットバックボーンを経由してインターネット300に接続される。プロバイダ側ネットワーク100は、TCP/IPプロトコルを用いた通信が行われるLAN(Local Area Network)やWAN(Wide Area Network)等である。
【0026】
プロバイダ側ネットワーク100には、当該プロバイダ側ネットワーク100に接続する情報処理装置として、ユーザ側ネットワーク200との接続口として機能する経路制御装置であるルータ(Router)102が接続している。ルータ102は、IPレベルでの経路制御を行い、プロバイダ側ネットワーク100とユーザ側ネットワーク200との間のデータパケットの伝送を中継する。プロバイダ側ネットワーク100には、インターネット300への接続口となるルータ103が接続する。ルータ103もまた、IPレベルでの経路制御を行い、プロバイダ側ネットワーク100とインターネット300との間のデータパケットの伝送を中継する。
【0027】
プロバイダ側ネットワーク100には、情報処理装置として、例えば、DNSサーバ、メールサーバ、プロキシーサーバ、認証サーバ、ニュースサーバ、Webサーバ、ファイアウォールサーバ等の各種のコンピュータ104が接続している。
【0028】
ユーザ側ネットワーク200は、例えば、企業A内に敷設されたLAN等である。ユーザ側ネットワーク200には、情報処理装置として、企業Aの社員が使用するコンピュータ203が接続している。また、ユーザ側ネットワーク200には、情報処理装置として、プロバイダ側ネットワーク100のルータ102と接続するルータ202が接続する。ルータ102とルータ202とは、通信線(インターネットの一部)400を介して接続している。通信線400としては、例えば、電気的もしくは光学的な通信方式を用いた、専用線や公衆通信網が用いられる。
【0029】
===通信状態の監視===
プロバイダ側ネットワーク100には、情報処理装置として、インターネット300及びプロバイダ側ネットワーク100(以下、これらをあわせて外部ネットワークと総称する)の通信状態の監視を行う監視装置101が接続している。監視装置101では、上記通信状態の監視に関する処理を実現するプログラムである異常検知プログラムが動作している。異常検知プログラムは、例えば、DoS攻撃やDDoS攻撃等により、通常の通信では想定されないような異常な量のトラフィックが流れていないかどうか、通常の通信では設定されない送信元情報や送信先情報を含んでいないかどうか、といったことを調べることにより外部ネットワークにおける通信状態を監視する。
【0030】
異常検知プログラムは、上記通信状態の監視を行うために、外部ネットワークにおける通信に関する情報を取得する機能を備える。前記通信に関する情報の取得は、例えば、外部ネットワークを流れるデータパケットを外部ネットワークから直接取込むことにより行う。また、上記取得は、例えば、SNMP(Simple Network Management Protocol)やICMP(Internet Control Message Protocol)等のプロトコルを用いて、外部ネットワーク上に存在するWebサーバやDNSサーバ、メールサーバ等の各種サーバ、ルータ等の各種の情報処理装置に対して問い合わせることによっても行われる。このような通信状態に関する情報の取得は、例えば、リアルタイムに、もしくは適宜に設定された時間間隔で行われるように設定される。
【0031】
監視装置101は、通信状態の監視により、外部ネットワークにおける通信状態に異常が生じていることを検知すると、その旨を示す通知を、プロバイダ側ネットワーク100もしくはユーザ側ネットワーク200のいずれとも異なる通信経路500を介して、ユーザ側ネットワーク200に接続している情報処理装置である異常情報受信装置201に送信する。ここで通信経路500としては、例えば、専用線、ISDN網、公衆電話網、光パスネットワーク等が用いられる。なお、前記光パスネットワークについては、例えば、「MANにおける光パスネットワークの基本特性:平成14年度電子情報通信学会東京支部学生会研究発表会、B-7、pp.26-27(2003-3)」に記載されている。
【0032】
異常情報受信装置201は、通信経路500を介して監視装置101から送信されてくる上記通知を受信すると、その通知の内容に応じた処理を実行する。通知の内容としては、例えば、不正なデータパケットを送信している送信元アドレス、不正なデータパケットのパケットタイプなど、異常情報受信装置201が、不正なデータパケットからユーザ側ネットワーク200に接続する情報処理装置を防御するのに有用な情報が設定される。
【0033】
上記通知内容に応じた処理は、異常情報受信装置201において動作する防御対策プログラムにより実行される。上記通知内容に応じた処理は、例えば、外部ネットワークからユーザ側ネットワーク200に対して行われる攻撃から、ユーザ側ネットワーク200に接続している情報処理装置を防御する処理である。防御対策プログラムは、例えば、ユーザ側ネットワーク200に接続する情報処理装置の当該ユーザ側ネットワーク200を通じた通信に関する設定を動的に変更する。具体的には、例えば、異常情報受信装置201自身において、外部ネットワークから当該異常情報受信装置201に送信されるデータパケットの全部もしくは一部(例えば、特定の送信元が設定されているデータパケットのみ)を受信しないようにする。また、例えば、異常情報受信装置201からルータ202を制御して外部ネットワークからユーザ側ネットワーク200に送信されてくるデータパケットの全部もしくは一部(例えば、特定の送信元が設定されているデータパケットのみ)を通過させないようにする。
【0034】
異常情報受信装置201は、防御対策プログラムにより提供される上記の処理を実行する専用の情報処理装置であってもよいし、他の用途に用いられている情報処理装置に上記防御対策プログラムが提供する上記の処理を実現する仕組みを持たせるようにしてもよい。また、異常情報受信装置201は、ユーザ側ネットワーク200に対するファイアウォールとして機能するものであってもよい。この場合には、例えば、異常情報受信装置201は、監視装置101から外部ネットワークに異常が生じている旨の上記通知を受信した場合に、プロバイダ側ネットワーク100からユーザ側ネットワーク200に送信されてくる全部もしくは一部のデータパケットを通過させないようにする。また、異常情報受信装置201は、ユーザ側ネットワーク200に複数台が接続する構成としてもよい。この場合には、各異常情報受信装置201が通信経路500に接続されることになる。
【0035】
以上の構成からなる情報処理システムによれば、監視装置101において検知した外部ネットワークにおける通信状態の異常を、外部ネットワークとは異なる通信経路500を介して迅速かつ確実に異常情報受信装置201に通知することができる。
【0036】
ところで、例えば、外部ネットワークにおいては、不正アクセス等によって生じる外部ネットワークの通信状態の異常は、外部ネットワークの一部において局所的に発生する。従って、監視装置101が、外部ネットワーク上の異常が発生している位置から遠い(例えば送信元から送信先までの距離が長かったり中継点が多い等の理由により、データパケットの到達時間が長い)位置にある場合には、前記異常が発生してからそれが前記監視装置101において検知されるまでにタイムラグが生じてしまう。このタイムラグは、例えば、複数の前記監視装置101を外部ネットワーク上に分散させて複数設けることにより短縮化することができる。すなわち、このようにすることで、異常が発生した位置から近い位置に監視装置101が存在する確率が高くなり、上記タイムラグを短縮化させることができる。また、異常が生じていることを迅速に異常情報受信装置201に伝えることができる。
【0037】
===装置の具体的な構成===
図2に監視装置101のハードウエア構成の一例を示している。この図に例示する監視装置101は、CPU1011、RAMやROM等のメモリ1012等を備えるコンピュータである。監視装置101は、ハードディスク装置1013を備えていることもある。また、監視装置101がルータである場合には、メモリ1012にはフラッシュメモリ等の不揮発性メモリが含まれる。監視装置101は、上記基本構成に加えて、プロバイダ側ネットワーク100に接続するための通信インタフェース1014を備えている。通信インタフェース1014は、例えば、イーサネットアダプタカード等のネットワークインタフェースカード(NIC:Network Interface Card)である。また、監視装置101は、通信経路500に接続するための通信インタフェース1015を備えている。
【0038】
図3に異常情報受信装置201のハードウエア構成の一例を示している。この図において、異常情報受信装置201は、CPU2011、RAMやROM等のメモリ2012を備えるコンピュータである。異常情報受信装置201は、、ハードディスク装置2013を備えていることもある。また、異常情報受信装置201がルータである場合には、メモリ2012にはフラッシュメモリ等の不揮発性メモリが含まれる。異常情報受信装置201は、コンピュータとしての上記基本構成に加えて、ユーザ側ネットワーク200に接続するための通信インタフェース2014を備えている。通信インタフェース2014は、例えば、イーサネットアダプタカード等のネットワークインタフェースカード(NIC:Network Interface Card)である。また、異常情報受信装置201は、通信経路500に接続するための通信インタフェース2015を備えている。また、異常情報受信装置201は、ハードディスク装置やCD−ROM等の記憶装置が接続していることもある。
【0039】
====異常検知プログラム====
次に、監視装置101において実行される上述した異常検知プログラムの具体的な例を紹介する。ここで説明する異常検知プログラムは、DoS攻撃やDDoS攻撃を効率よく検知するものである。
【0040】
ここで紹介する異常検知プログラムは、このような攻撃により生じている外部ネットワークの通信状態の異常を検知するために、図4に示すフローチャートに従って処理を行う。まず、外部ネットワークを流れる特定の情報処理装置向けのトラフィックを取得する(S1001)。つぎにそのトラフィックの増加率があらかじめ設定されている閾値を超えているかどうかを調べ(S1002)、閾値を超えていることを検知した場合には(S1002:YES)、前記取得したトラフィックの時間的な変化のパターンと、データベース等に記憶している時間的なトラフィックの変化のパターンとの類似度を求める(S1003)。そして求められた前記類似度が設定される値(以下、判定値と称する)を超えているかどうかを調べ(S1004)、類似度が判定値を超えている場合には(S1004:YES)、前記類似度に応じて前記トラフィックに異常があることを示す情報を出力する(S1005)。
【0041】
ここで類似度を求めるために記憶しておく時間的なトラフィックの変化のパターンは、例えば、不正アクセスの種類に対応して用意される。また、このパターンは、一つ以上のパターンが用意され、複数のパターンが用意されている場合には、記憶している二つ以上の変化のパターンの夫々との類似度を計算する。ここでこのように複数のパターンが用意されている場合には、不正アクセスの種類に応じて用意されているパターンの数の範囲内で、その不正アクセスがどのような種類の不正アクセスであるかを判別することができる。なお、不正アクセスの種類としては、例えば、ICMP攻撃によるもの、UDP攻撃によるもの、SYN−Flood攻撃などがある。
【0042】
図4の(S1002)の処理において、トラフィックの増加率があらかじめ設定されている閾値を超えているかどうかは、例えば、次のようにして判断する。すなわち、DoS攻撃が発生していない正常な状態のトラフィックパターンに着目し、全てのパケットの時系列Li(i=1,2,3,...,N)をデータベースとして、評価周期をTとする。そして、評価周期T毎のデータに対し、最小二乗法を用いて近似回帰直線の回帰係数ai(i=1,2,3,...,N-T+1)を求める。例えば、xを時間、yをパケット数として、最小二乗法を用いて一次式(y=ax+b)に近似させるとすると、回帰係数aは、以下の式(数1)から求められる。
【0043】
【数1】
また、bは次の式(数2)により求められる。
【数2】
【0044】
そして、上式(数1)により求められた回帰系数の列a1,a2,...,aN-T+1の中で最も大きい回帰係数amを、異常検出の上限MAXaとして定め、これを閾値として設定する。なお、この処理は時系列的に繰り返し行い、閾値も1分毎に更新する。
【0045】
次にリアルタイムに測定した全てのパケットの時系列ALLk(k=1,2,3,...,j,...,j+N)に対し、評価周期を同じくTとして、評価時点jの回帰係数をa0とする。この回帰係数a0がMAXaより大きければトラフィックの増加率があらかじめ設定されている閾値を超えていると判断される。
【0046】
一方、図4の(S1003)の処理で求められる類似度は、例えば、類似関数を用いて算出される。ここで類似関数とは、2つのパターンの相関関係を求めるものである。例えば、観測点iと観測点jで観測されたパターンを比較する場合、評価するパターンの各点をLi=(n1,n2,...,nN),Lj=(m1,m2,...,mN)とすると、この2つのパターンの類似度rは次式(数3)から求められる。
【0047】
【数3】
なお、上式(数3)において、<L>は各データの平均、σi、σjはその分散を表す。また、上記σは、次式(数4)で与えられる。
【数4】
ここで、rが類似度であり、rが1に近いほど、2つのパターンには強い相関があり、パターンの形状が類似していることになる。
【0048】
===検証事例===
上述した異常検知プログラムの検証事例について紹介する。図5にこの検証のために用いたコンピュータシステムの構成を示している。コンピュータシステムは、複数の情報処理装置(コンピュータ)とこれらを互いに通信可能に接続しているLAN600とを含んで構成される。この図において、異常検知プログラムは、上記情報処理装置の一つであるモニタコンピュータ602上で動作している。つまり、モニタコンピュータ602は、上述の監視装置101に相当する。上記情報処理装置の一つであるサーバコンピュータ601は、異常検知プログラムの監視対象となるコンピュータである。上記情報処理装置の一つであるクライアントコンピュータ1乃至3(604)は、サーバコンピュータ601に対して、不正なデータパケットを送信するコンピュータである。つまり、クライアントコンピュータ1乃至3(604)は、クラッカー等により不正アクセスがなされることにより不正なデータパケットをサーバコンピュータ601に対して送信する不正なプログラムを仕組まれて、サーバコンピュータ601に対するDoS攻撃を行っているコンピュータに相当する。上記情報処理装置の一つであるローダコンピュータ603は、サーバコンピュータ601に対して、正常なデータパケットを送信するコンピュータである。つまり、ローダコンピュータ603は、サーバコンピュータ601との間で正常な通信を行っているコンピュータに相当する。
【0049】
上記構成からなるコンピュータシステムにおいて、DoS攻撃が発生していない正常な状態のサーバコンピュータ601に対して送信されてくるトラフィックの推移の測定結果を図6に示している。ここでは最小二乗法により5分間毎にトラフィックの回帰係数を求めている。図7は回帰係数の時系列的な変化を示したものである。図7では、11時28分に最も大きな回帰係数(144.5)が計測されている。そこで、この例では、異常検出の閾値として144.5を設定することとしている。また、類似度の判定値として0.9を設定する。ここで類似度が判定値を超えている場合には、類似すると判定し、類似度が判定値以下である場合には、類似しないと判定する。
【0050】
検証は、クライアントコンピュータ1乃至3(604)が、DoS攻撃として、ICMP攻撃、UDP攻撃、SYN−Flood攻撃の3種類の攻撃を行う場合について行った。以下、各種類ごとの検証結果について説明する。
【0051】
まずICMP攻撃の場合について説明する。ここでICMP攻撃とは、ICMPエコー要求(ICMP Echo Request)に対するICMPエコー応答(ICMP Echo Reply)が特定のアドレスに集中するように、元のICMPエコー要求パケットの送信元のアドレスを偽造するものである。
【0052】
図8は、ICMP攻撃がされた場合における16時35分から16時50分までの間に取得したトラフィックパターンを示す図である。この例では、最小二乗法より16時44分まで5分間のトラフィックパターンの近似回帰直線の回帰係数が2148.1と求められ、この値は、閾値として設定されている144.5を超えているので、続いて類似度の計算が行われる。ここでは、取得されたトラフィックの時間的な変化のパターンと、記憶している時間的なトラフィックの変化のパターンとの類似度の計算が行われる。なお、ここで記憶している時間的なトラフィックの変化のパターンは、ICMP攻撃についてのパターンである。
【0053】
図9はICMP攻撃がされた場合における類似性の検出結果である。この図に示すように、類似度は0.999856と求められている。ここでこの類似度は、あらかじめ設定しておいた類似度の判定値である0.9を超えているので、ここで取得されたトラフィックの時間的な変化のパターンと、記憶している時間的なトラフィックの変化のパターンとは類似していると判断される。以上の結果から、サーバコンピュータ601に対してICMP攻撃が行われていると判断される。
【0054】
次にUDP攻撃の場合について説明する。ここでUDP攻撃は、攻撃対象の情報処理装置に対し大量のUDPパケットを送りつけ、情報処理装置の処理能力やネットワークの帯域を消費させる攻撃である。具体的には、大量のUDPパケットが攻撃対象となる情報処理装置の適当なポートに対して送信されると、当該情報処理装置は届いたUDPパケット1つ1つに対して、サービスを提供していない旨を示す「ICMP port unreachable」というメッセージで応答しようとする。しかし、送信されるUDPパケットが大量なため、その大量のパケットひとつひとつに対して上記応答を行うことによって、攻撃対象となる情報処理装置の処理能力を消費させることになる。また、トラフィックの増加により通信帯域の低下を引き起こすことにもなる。
【0055】
図10はUDP攻撃がされた場合におけるトラフィックの推移の測定結果である。この図に示すように、最小二乗法より2時20分までの5分間のトラフィックパターンの近似回帰直線の回帰係数が1835.7と求められている。この値は、閾値として設定されている144.5を超えているので、続いて類似度の計算が行われる。ここでは、取得されたトラフィックの時間的な変化のパターンと、記憶している時間的なトラフィックの変化のパターンとの類似度の計算が行われる。なお、ここで記憶している時間的なトラフィックの変化のパターンは、UDP攻撃についてのパターンである。
【0056】
図11はUDP攻撃がされた場合における類似性の検出結果である。この図に示すように、類似度として0.980201が求められている。ここでこの類似度は、あらかじめ設定しておいた類似度の判定値である0.9を超えているので、ここで取得されたトラフィックの時間的な変化のパターンと、記憶している時間的なトラフィックの変化のパターンとは類似していると判断される。以上の結果から、サーバコンピュータに対してUDP攻撃が行われていると判断される。
【0057】
次にSYN−Flood攻撃の場合について説明する。ここでSYN−Flood攻撃は、TCPサービスに対し、接続要求(SYNパケット)を大量に送りつけ、そのサービスの処理能力を消費させる攻撃である。SYN−Flood攻撃はTCPサービスのコネクションを確立するのに3ウェイハンドシェイク(3 Way Handshake)の欠陥を利用し、ターゲットに対し大量のSYNパケットを高速に送信し、情報処理装置を待ち受け状態に陥れる。つまり、SYN攻撃される場合には、情報処理装置のパッシブオープンのTCPコネクション数が急激に増加することになる。SYN−Flood攻撃に対しては、全てのパケットとTCPコネクションのトラフィックパターンの類似性の判定ではなく、パッシブオープンのTCPコネクション数を比較し、類似しているかどうかを判定する。つまり、TCP接続がLISTEN状態からSYN−REVD状態に直接移行した回数を入手する。この回数は、例えばサーバ601のIPアドレスが192.168.0.1とすると、モニタサーバ604から「Target[192.168.0.1]:1.3.6.1.2.1.4.3.0&1.3.6.1.2.1.6.6.0:public@192.168.0.1:」としてSNMPで入手できる。
【0058】
図12は、SYN−Flood攻撃がされた場合におけるトラフィックの推移の測定結果である。この図に示すように、最小二乗法より7時20分までの5分間のトラフィックパターンの近似回帰直線の回帰係数が1204.1と求められている。この値は、閾値として設定されている144.5を超えているので、続いて類似度の計算が行われる。
【0059】
図13は、SYN−Flood攻撃がされた場合における類似性の検出結果である。ここでは、取得されたトラフィックの時間的な変化のパターンと、記憶している時間的なトラフィックの変化のパターンとの類似度の計算が行われる。なお、ここで記憶している時間的なトラフィックの変化のパターンは、SYN−Flood攻撃についてのパターンである。ここでは、類似度として、0.999579と求められる。ここでこの類似度は、あらかじめ設定しておいた類似度の判定値である0.9を超えているので、ここで取得されたトラフィックの時間的な変化のパターンと、記憶している時間的なトラフィックの変化のパターンとは類似していると判断される。以上の結果から、サーバコンピュータに対してSYN−Flood攻撃が行われていると判断される。
【0060】
以上により、異常検知プログラムによって、DoS攻撃の典型例であるICMP攻撃、UDP攻撃、SYN−Flood攻撃について、正確かつ迅速な検知を行うことができることが確認された。
【0061】
以上本実施の形態について説明したが、上記実施例は本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。本発明はその趣旨を逸脱することなく変更、改良され得ると共に、本発明にはその等価物も含まれる。
【0062】
【発明の効果】
本発明によれば、通信ネットワークにおいて生じている不正アクセスに対して迅速かつ確実な防御を可能とする、情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法を提供することができる。
【図面の簡単な説明】
【図1】本発明の一実施例による情報処理システムの全体構成を示す図である。
【図2】本発明の一実施例による監視装置101のハードウエア構成の一例を示す図である。
【図3】本発明の一実施例による異常情報受信装置201のハードウエア構成の一例を示す図である。
【図4】本発明の一実施例による異常検知プログラムが外部ネットワークの通信状態の異常を検知する処理を説明するフローチャートを示す図である。
【図5】本発明の一実施例による異常検知プログラムの検証のために用いたコンピュータシステムの構成を示す図である。
【図6】本発明の一実施例によるDoS攻撃が発生していない正常な状態のサーバコンピュータ601に対して送信されてくるトラフィックの推移の測定結果を示す図である。
【図7】本発明の一実施例による回帰係数の時系列的な変化を示す図である。
【図8】本発明の一実施例によるICMP攻撃がされた場合におけるトラフィックの推移の測定結果を示す
【図9】本発明の一実施例によるICMP攻撃がされた場合における類似性の検出結果である。
【図10】本発明の一実施例によるUDP攻撃がされた場合におけるトラフィックの推移の測定結果を示す
【図11】本発明の一実施例によるUDP攻撃がされた場合における類似性の検出結果である。
【図12】本発明の一実施例によるSYN−Flood攻撃がされた場合におけるトラフィックの推移の測定結果を示す
【図13】本発明の一実施例によるSYN−Flood攻撃がされた場合における類似性の検出結果である。
【符号の説明】
100 プロバイダ側ネットワーク
101 監視装置
102 ルータ
103 ルータ
104 コンピュータ
200 ユーザ側ネットワーク
201 異常情報受信装置
202 ルータ
203 コンピュータ
300 インターネット
400 通信線
500 通信経路
【発明の属する技術分野】
この発明は、情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法に関する。
【0002】
【従来の技術】
IT関連技術の発達に伴い、コンピュータを用いて構築される情報処理システムは広く社会に浸透している。そして、情報処理システムの多くはインターネット等の広域ネットワークに接続されており、これらネットワークを通じて行われる不正アクセスが問題となっている。昨今では、インターネットの開放相互接続性や脆弱性を突いた不正アクセスが頻発しており、企業活動や日常生活に多大な影響を与えている。サイバーテロ等にあっては国家的なインフラ基盤を揺るがしかねない。
【0003】
ネットワークを通じて行われる不正アクセスから情報処理装置を防御するための仕組みとして、例えば、外部ネットワークとの接点に自律システム(Autonomos System)としてファイアウォールを設置することが行われている。ファイアウォールは、パケットフィルタリングにより不正アクセスを防止する。また、ファイアウォールをすり抜けてネットワーク内に侵入した不正アクセスを監視する仕組みとして、IDS(侵入検知システム(Intrusion Detection System))が知られている。IDSは、一般的にシステムの変更内容やネットワーク上を流れるパケットの内容を解析することにより、ネットワーク内を流れる異常なパケットを検出する。
【0004】
昨今では、大量のデータや不正なパケットを送信し、その結果、コンピュータやネットワークの資源を枯渇させてシステム障害やネットワーク障害を生じせしめる、いわゆるDoS(Denial of Service)攻撃や、このような攻撃を複数の送信元から行うDDoS(Distributed denial of Service)攻撃等が問題となっている。このような攻撃からコンピュータシステムを防御する仕組みとして、例えば、トラフィックの異常を検知すると、防御プログラムを攻撃元に近い位置に移動させ、移動させた防御プログラムが攻撃に関するデータの通信を制限することによりDDoS攻撃から防御する仕組みが提案されている(例えば、非特許文献1を参照)。
【0005】
【非特許文献1】
“攻撃元にまで攻め上がりながらネットワーク全体を防御するDDoS攻撃対策システム「Moving Firewall」を開発”、[online]、平成15年2月18日、日本電信電話株式会社、[平成15年5月22日検索]、インターネット<http://www.ntt.co.jp/news/news03/0302/030218.html>
【0006】
【発明が解決しようとする課題】
ところで、上述のDoS攻撃やDDoS攻撃は、不正に送信されたデータパケットそのものは正常なデータパケットであることが多く、データパケットの中身を解析することにより不正の存在を検出する従来の一般的な仕組みでは、不正アクセスの存在を検出することができない。そこで、このような種類の攻撃を確実に検出するための仕組みの開発が求められている。また、不正アクセスが検出された場合には、その被害をできる限り最小限に抑えるために、不正アクセスが検出された旨をその攻撃対象となりうる装置に迅速かつ確実に通知する仕組みが求められる。
【0007】
この発明はこのような事情に鑑みてなされたもので、通信ネットワークにおいて生じている不正アクセスに対して迅速かつ確実な防御を可能とする、情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法を提供することを目的とする。
【0008】
【課題を解決するための手段】
上記目的を達成する本発明の主たる発明は、インターネットに接続しているプロバイダ側ネットワークと、前記インターネット又は前記プロバイダ側ネットワークを流れるトラフィックを監視する第1の情報処理装置と、前記プロバイダ側ネットワークに通信ネットワークを介して接続しているユーザ側ネットワークと、当該ユーザ側ネットワークに接続している第2の情報処理装置と、前記第1及び第2の情報処理装置を接続する、前記通信ネットワークとは異なる通信経路と、を備えて構成され、前記第1の情報処理装置が、前記インターネット又は前記プロバイダ側ネットワークを流れるトラフィックが所定量を超えていることを検知した場合に、その旨を前記異なる通信経路を介して、前記ユーザ側ネットワークに接続している前記第2の情報処理装置に通知する手段を備え、前記第2の情報処理装置が、前記第1の情報処理装置から前記通知を受けた場合に、前記インターネット又は前記プロバイダ側ネットワークを介して前記ユーザ側ネットワークに送信されてくる全部もしくは一部のデータを受信しないように制御する手段を備えることを特徴とする情報処理システムである。
この場合に、前記インターネット又は前記プロバイダ側ネットワークを流れるトラフィックには、前記ユーザ側ネットワークを送信先としないデータパケットが含まれていることとすることができる。
【0009】
前記第1の情報処理装置とは、例えば、後述するプロバイダ側ネットワークに接続している監視装置101である。前記第2の情報処理装置とは、例えば、後述するユーザ側ネットワークに接続している異常情報受信装置201である。
前記の異なる通信経路とは、後述する通信経路500であり、例えば、専用線、ISDN網、公衆電話網、光パスネットワーク等である。前記トラフィックの監視とは、例えば、DoS攻撃やDDoS攻撃等により、通常の通信では想定されないような異常な量のトラフィックが流れていないかどうか、通常の通信では設定されない送信元情報や送信先情報を含んでいないかどうか、といったことを調べることである。
また、前記全部もしくは一部のデータを受信しないように制御する手段とは、例えば、第2の情報処理装置において特定の送信元が設定されているデータパケットのみを受信しないようにすることや、経路制御装置の設定変更により全部もしくは一部のデータパケットを通過させないようにすることである。
【0010】
この発明によれば、第1の情報処理装置において検知したインターネット又はプロバイダ側ネットワークにおけるトラフィックの異常を、前記通信ネットワークとは異なる通信経路を介してユーザ側ネットワークの第2の情報処理装置に通知する。すなわち、前記インターネット又は前記プロバイダ側ネットワークのトラフィックに異常がある場合には、故障やトラフィックの渋滞により前記通信ネットワークを介して第2の情報処理装置に前記異常が生じていることを通知することができないか、もしくは、通知することはできても迅速に通知することができない場合があるが、本発明では、前記通信ネットワークとは異なる通信経路で前記異常が生じていることを通知するので、第1の情報処理装置から第2の情報処理装置に迅速かつ確実に前記通知を行うことができる。これにより第2の情報処理装置は、前記インターネット又は前記プロバイダ側ネットワークに生じている異常に対する対応(例えば、ルータの経路設定変更によるパケット受信制限等)を迅速に行うことができる。
【0011】
また、通常、インターネット等の通信ネットワークにおけるパケット網を経由した情報転送等においては、伝搬遅延に加えてネットワーク機器での蓄積・情報処理数により数10msから数100msの遅延が発生する。従って、このような理由により、インターネット又はプロバイダ側ネットワークの異常の影響が第2の情報処理装置が接続されているユーザ側ネットワークに波及する前に前記異なる通信経路を介して先回りして第2の情報処理装置に前記通知が行われる場合には、前記異常の影響がユーザ側ネットワークに及ぶ前に防御策を講じることができるので、前記インターネット又は前記プロバイダ側ネットワークで生じている異常からユーザ側ネットワークを守ることができる。
【0015】
本発明の他の態様は、前記情報処理システムにおいて、前記第1の情報処理装置が前記インターネット又は前記プロバイダ側ネットワークを流れるトラフィックを監視する手段は、前記インターネット又は前記プロバイダ側ネットワークを流れる前記第2の情報処理装置に向けて送信されるトラフィックの増加率が閾値を超えていることを検知した場合に、前記トラフィックの時間的な変化のパターンと、記憶しているトラフィックの時間的な変化のパターンとの類似度を求め、前記類似度に応じて前記トラフィックに異常があることを示す情報を出力することとする。
【0016】
例えば、DoS攻撃等によって生じた通信ネットワークにおける通信状態の異常を検知する方法として、例えば、トラフィックの増加率が急増したことを利用することが考えられる。しかしながら、例えば、ビデオデータなどのデータサイズの大きなデータが流れる場合もあるため、トラフィックの増加率が急増したことのみをもって異常であると判断すると、誤検知する確率が高く、トラフィックの増加率が急増したことのみをもって異常と判断する方法は必ずしも適策とは言えない。
一方、インターネット又はプロバイダ側ネットワークを流れるトラフィックの異常を検知する他の方法として、トラフィックの時間的な変化のパターンと、記憶しているトラフィックの時間的な変化のパターンとの類似度を求め、この類似度により通信ネットワークにおけるトラフィックに異常が生じているかどうかを判断する方法が考えられる。しかしながら、この方法ではリアルタイムに類似度を求める必要があるため、処理負荷が大きくなりやすいという問題がある。
【0017】
本発明は、上記2つの方法を組み合わせてトラフィックの異常を検知するようにしたものである。すなわち、前記インターネット又は前記プロバイダ側ネットワークを流れる前記第2の情報処理装置に向けて送信されるトラフィックの増加率が閾値を超えていることを検知した場合に、前記トラフィックの時間的な変化のパターンと、記憶しているトラフィックの時間的な変化のパターンとの類似度を求め、前記類似度に応じて前記トラフィックに異常があるかどうかを判断する。
このように、上記2つの方法を組み合わせることで、誤検知を減らしてより確実にトラフィックの異常を検知することができる。また、この方法では、類似度を求める処理が、前記インターネット又は前記プロバイダ側ネットワークを流れる前記第2の情報処理装置に向けて送信されるトラフィックの増加率が閾値を超えていることを検知した場合にのみ行われる。このため、必要な場合にのみ類似度を求める処理が実行され、無駄に処理負荷を増大させることがない。
【0018】
本発明の他の態様は、前記情報処理システムにおいて、前記トラフィックの異常は前記通信ネットワークにおいて行われる不正アクセスに起因して生じたものであり、前記第1の情報処理装置は、前記トラフィックの時間的な変化のパターンとして不正アクセスの種類に対応する一つ以上のトラフィックの時間的な変化のパターンを記憶しており、前記トラフィックの時間的な変化のパターンと、前記記憶している一つ以上の変化のパターンの夫々との類似度に基づいて、不正アクセスの種類を判別する手段を備えることとする。
【0019】
前記不正アクセスの種類としては、例えば、ICMP攻撃、UDP攻撃、SYN−Flood攻撃がある。このような不正アクセスの夫々に応じた前記トラフィックの時間的な変化のパターンを記憶しておき、通信ネットワークにおける前記トラフィックの時間的な変化のパターンと前記記憶している一つ以上の変化のパターンの夫々との類似度に基づいて、不正アクセスの種類を判別する。このように不正アクセスの種類が判別されることで、不正アクセスの種類に応じて適切な防御策を講じることができる。なお、記憶しておく前記トラフィックの時間的な変化のパターンは、前記第1の情報処理装置が過去に取得したトラフィックに基づいて自動的にデータベースに登録するように(自動学習機能)することもできる。
【0020】
本発明の他の態様は、前記情報処理システムにおいて、前記第1の情報処理装置による前記第2の情報処理装置への通知が、不正なデータパケットを送信している送信元アドレス、又は不正データパケットのパケットタイプを含むこととする。これにより、例えば、インターネット又はプロバイダ側ネットワークからユーザ側ネットワークに対して行われる攻撃から、ユーザ側ネットワークに接続している情報処理装置が防御される。
【0021】
また、他の発明では、前記情報処理システムにおいて、前記通信経路は、前記通信ネットワークにおける通信より高速な通信が可能な通信経路であることとする。
すなわち、前記通信経路を、前記通信ネットワークにおける通信より高速な通信が可能な通信経路(例えば、高速専用ネットワーク)とすれば、通信ネットワークの異常の影響が第2の情報処理装置に波及する前に前記通信経路を介して先回りして第2の情報処理装置に前記通知が行われ、前記異常の影響が第2の情報処理装置に及ぶ前に防御策を講じることができ、前記通信ネットワークで生じている異常から第2の情報処理装置をより確実に守ることができる。
【0022】
本発明の他の態様は、前記情報処理システムにおいて、前記通信ネットワークに、複数の前記第1の情報処理装置を前記通信ネットワーク上に分散させて接続することとする。
例えばインターネット等の広域ネットワークにおいては、不正アクセス等により生じる通信ネットワークの通信状態の異常は、広域ネットワークの一部において局所的に発生する。従って、広域ネットワークに前記第1の情報処理装置が異常が発生した位置から遠い(例えば送信元から送信先までの距離が長かったり中継点が多い等の理由により、データパケットの到達時間が長い)場合には、前記異常が発生してからそれが前記第1の情報処理装置に検知されるまでにタイムラグが生じてしまう。そこで、上記発明のように、通信ネットワークには、複数の前記第1の情報処理装置を接続するように、つまり、通信ネットワークにネットワークトラフィックセンサを分散配置することで、異常が発生した位置から近い位置に前記第1の情報処理装置が存在している可能性が高くなり、上記タイムラグを短縮化させることができる。
【0023】
その他、本願が開示する課題、及びその解決方法は、発明の実施の形態の欄、及び図面によって明らかにされる。
【0024】
【発明の実施の形態】
以下、本発明の実施の形態について図面を用いて詳細に説明する。
図1に本発明の一実施例として説明する情報処理システムの全体構成を示している。この情報処理システムは、インターネットサービスプロバイダ(ISP:Internet Service Provider)が、ユーザサービスの提供等の目的で運用しているプロバイダ側ネットワーク100と、このプロバイダと契約しこのプロバイダの設備を利用してインターネットに接続しているユーザ(図1においては企業A)側に設けられるユーザ側ネットワーク200との関係で構築されるものである。
【0025】
プロバイダは、インターネット300とユーザ側ネットワーク200との接続を仲介するサービスを行っている。プロバイダ側ネットワーク100は、直接に、もしくは、当該プロバイダ自身もしくは他のプロバイダが運用するインターネットバックボーンを経由してインターネット300に接続される。プロバイダ側ネットワーク100は、TCP/IPプロトコルを用いた通信が行われるLAN(Local Area Network)やWAN(Wide Area Network)等である。
【0026】
プロバイダ側ネットワーク100には、当該プロバイダ側ネットワーク100に接続する情報処理装置として、ユーザ側ネットワーク200との接続口として機能する経路制御装置であるルータ(Router)102が接続している。ルータ102は、IPレベルでの経路制御を行い、プロバイダ側ネットワーク100とユーザ側ネットワーク200との間のデータパケットの伝送を中継する。プロバイダ側ネットワーク100には、インターネット300への接続口となるルータ103が接続する。ルータ103もまた、IPレベルでの経路制御を行い、プロバイダ側ネットワーク100とインターネット300との間のデータパケットの伝送を中継する。
【0027】
プロバイダ側ネットワーク100には、情報処理装置として、例えば、DNSサーバ、メールサーバ、プロキシーサーバ、認証サーバ、ニュースサーバ、Webサーバ、ファイアウォールサーバ等の各種のコンピュータ104が接続している。
【0028】
ユーザ側ネットワーク200は、例えば、企業A内に敷設されたLAN等である。ユーザ側ネットワーク200には、情報処理装置として、企業Aの社員が使用するコンピュータ203が接続している。また、ユーザ側ネットワーク200には、情報処理装置として、プロバイダ側ネットワーク100のルータ102と接続するルータ202が接続する。ルータ102とルータ202とは、通信線(インターネットの一部)400を介して接続している。通信線400としては、例えば、電気的もしくは光学的な通信方式を用いた、専用線や公衆通信網が用いられる。
【0029】
===通信状態の監視===
プロバイダ側ネットワーク100には、情報処理装置として、インターネット300及びプロバイダ側ネットワーク100(以下、これらをあわせて外部ネットワークと総称する)の通信状態の監視を行う監視装置101が接続している。監視装置101では、上記通信状態の監視に関する処理を実現するプログラムである異常検知プログラムが動作している。異常検知プログラムは、例えば、DoS攻撃やDDoS攻撃等により、通常の通信では想定されないような異常な量のトラフィックが流れていないかどうか、通常の通信では設定されない送信元情報や送信先情報を含んでいないかどうか、といったことを調べることにより外部ネットワークにおける通信状態を監視する。
【0030】
異常検知プログラムは、上記通信状態の監視を行うために、外部ネットワークにおける通信に関する情報を取得する機能を備える。前記通信に関する情報の取得は、例えば、外部ネットワークを流れるデータパケットを外部ネットワークから直接取込むことにより行う。また、上記取得は、例えば、SNMP(Simple Network Management Protocol)やICMP(Internet Control Message Protocol)等のプロトコルを用いて、外部ネットワーク上に存在するWebサーバやDNSサーバ、メールサーバ等の各種サーバ、ルータ等の各種の情報処理装置に対して問い合わせることによっても行われる。このような通信状態に関する情報の取得は、例えば、リアルタイムに、もしくは適宜に設定された時間間隔で行われるように設定される。
【0031】
監視装置101は、通信状態の監視により、外部ネットワークにおける通信状態に異常が生じていることを検知すると、その旨を示す通知を、プロバイダ側ネットワーク100もしくはユーザ側ネットワーク200のいずれとも異なる通信経路500を介して、ユーザ側ネットワーク200に接続している情報処理装置である異常情報受信装置201に送信する。ここで通信経路500としては、例えば、専用線、ISDN網、公衆電話網、光パスネットワーク等が用いられる。なお、前記光パスネットワークについては、例えば、「MANにおける光パスネットワークの基本特性:平成14年度電子情報通信学会東京支部学生会研究発表会、B-7、pp.26-27(2003-3)」に記載されている。
【0032】
異常情報受信装置201は、通信経路500を介して監視装置101から送信されてくる上記通知を受信すると、その通知の内容に応じた処理を実行する。通知の内容としては、例えば、不正なデータパケットを送信している送信元アドレス、不正なデータパケットのパケットタイプなど、異常情報受信装置201が、不正なデータパケットからユーザ側ネットワーク200に接続する情報処理装置を防御するのに有用な情報が設定される。
【0033】
上記通知内容に応じた処理は、異常情報受信装置201において動作する防御対策プログラムにより実行される。上記通知内容に応じた処理は、例えば、外部ネットワークからユーザ側ネットワーク200に対して行われる攻撃から、ユーザ側ネットワーク200に接続している情報処理装置を防御する処理である。防御対策プログラムは、例えば、ユーザ側ネットワーク200に接続する情報処理装置の当該ユーザ側ネットワーク200を通じた通信に関する設定を動的に変更する。具体的には、例えば、異常情報受信装置201自身において、外部ネットワークから当該異常情報受信装置201に送信されるデータパケットの全部もしくは一部(例えば、特定の送信元が設定されているデータパケットのみ)を受信しないようにする。また、例えば、異常情報受信装置201からルータ202を制御して外部ネットワークからユーザ側ネットワーク200に送信されてくるデータパケットの全部もしくは一部(例えば、特定の送信元が設定されているデータパケットのみ)を通過させないようにする。
【0034】
異常情報受信装置201は、防御対策プログラムにより提供される上記の処理を実行する専用の情報処理装置であってもよいし、他の用途に用いられている情報処理装置に上記防御対策プログラムが提供する上記の処理を実現する仕組みを持たせるようにしてもよい。また、異常情報受信装置201は、ユーザ側ネットワーク200に対するファイアウォールとして機能するものであってもよい。この場合には、例えば、異常情報受信装置201は、監視装置101から外部ネットワークに異常が生じている旨の上記通知を受信した場合に、プロバイダ側ネットワーク100からユーザ側ネットワーク200に送信されてくる全部もしくは一部のデータパケットを通過させないようにする。また、異常情報受信装置201は、ユーザ側ネットワーク200に複数台が接続する構成としてもよい。この場合には、各異常情報受信装置201が通信経路500に接続されることになる。
【0035】
以上の構成からなる情報処理システムによれば、監視装置101において検知した外部ネットワークにおける通信状態の異常を、外部ネットワークとは異なる通信経路500を介して迅速かつ確実に異常情報受信装置201に通知することができる。
【0036】
ところで、例えば、外部ネットワークにおいては、不正アクセス等によって生じる外部ネットワークの通信状態の異常は、外部ネットワークの一部において局所的に発生する。従って、監視装置101が、外部ネットワーク上の異常が発生している位置から遠い(例えば送信元から送信先までの距離が長かったり中継点が多い等の理由により、データパケットの到達時間が長い)位置にある場合には、前記異常が発生してからそれが前記監視装置101において検知されるまでにタイムラグが生じてしまう。このタイムラグは、例えば、複数の前記監視装置101を外部ネットワーク上に分散させて複数設けることにより短縮化することができる。すなわち、このようにすることで、異常が発生した位置から近い位置に監視装置101が存在する確率が高くなり、上記タイムラグを短縮化させることができる。また、異常が生じていることを迅速に異常情報受信装置201に伝えることができる。
【0037】
===装置の具体的な構成===
図2に監視装置101のハードウエア構成の一例を示している。この図に例示する監視装置101は、CPU1011、RAMやROM等のメモリ1012等を備えるコンピュータである。監視装置101は、ハードディスク装置1013を備えていることもある。また、監視装置101がルータである場合には、メモリ1012にはフラッシュメモリ等の不揮発性メモリが含まれる。監視装置101は、上記基本構成に加えて、プロバイダ側ネットワーク100に接続するための通信インタフェース1014を備えている。通信インタフェース1014は、例えば、イーサネットアダプタカード等のネットワークインタフェースカード(NIC:Network Interface Card)である。また、監視装置101は、通信経路500に接続するための通信インタフェース1015を備えている。
【0038】
図3に異常情報受信装置201のハードウエア構成の一例を示している。この図において、異常情報受信装置201は、CPU2011、RAMやROM等のメモリ2012を備えるコンピュータである。異常情報受信装置201は、、ハードディスク装置2013を備えていることもある。また、異常情報受信装置201がルータである場合には、メモリ2012にはフラッシュメモリ等の不揮発性メモリが含まれる。異常情報受信装置201は、コンピュータとしての上記基本構成に加えて、ユーザ側ネットワーク200に接続するための通信インタフェース2014を備えている。通信インタフェース2014は、例えば、イーサネットアダプタカード等のネットワークインタフェースカード(NIC:Network Interface Card)である。また、異常情報受信装置201は、通信経路500に接続するための通信インタフェース2015を備えている。また、異常情報受信装置201は、ハードディスク装置やCD−ROM等の記憶装置が接続していることもある。
【0039】
====異常検知プログラム====
次に、監視装置101において実行される上述した異常検知プログラムの具体的な例を紹介する。ここで説明する異常検知プログラムは、DoS攻撃やDDoS攻撃を効率よく検知するものである。
【0040】
ここで紹介する異常検知プログラムは、このような攻撃により生じている外部ネットワークの通信状態の異常を検知するために、図4に示すフローチャートに従って処理を行う。まず、外部ネットワークを流れる特定の情報処理装置向けのトラフィックを取得する(S1001)。つぎにそのトラフィックの増加率があらかじめ設定されている閾値を超えているかどうかを調べ(S1002)、閾値を超えていることを検知した場合には(S1002:YES)、前記取得したトラフィックの時間的な変化のパターンと、データベース等に記憶している時間的なトラフィックの変化のパターンとの類似度を求める(S1003)。そして求められた前記類似度が設定される値(以下、判定値と称する)を超えているかどうかを調べ(S1004)、類似度が判定値を超えている場合には(S1004:YES)、前記類似度に応じて前記トラフィックに異常があることを示す情報を出力する(S1005)。
【0041】
ここで類似度を求めるために記憶しておく時間的なトラフィックの変化のパターンは、例えば、不正アクセスの種類に対応して用意される。また、このパターンは、一つ以上のパターンが用意され、複数のパターンが用意されている場合には、記憶している二つ以上の変化のパターンの夫々との類似度を計算する。ここでこのように複数のパターンが用意されている場合には、不正アクセスの種類に応じて用意されているパターンの数の範囲内で、その不正アクセスがどのような種類の不正アクセスであるかを判別することができる。なお、不正アクセスの種類としては、例えば、ICMP攻撃によるもの、UDP攻撃によるもの、SYN−Flood攻撃などがある。
【0042】
図4の(S1002)の処理において、トラフィックの増加率があらかじめ設定されている閾値を超えているかどうかは、例えば、次のようにして判断する。すなわち、DoS攻撃が発生していない正常な状態のトラフィックパターンに着目し、全てのパケットの時系列Li(i=1,2,3,...,N)をデータベースとして、評価周期をTとする。そして、評価周期T毎のデータに対し、最小二乗法を用いて近似回帰直線の回帰係数ai(i=1,2,3,...,N-T+1)を求める。例えば、xを時間、yをパケット数として、最小二乗法を用いて一次式(y=ax+b)に近似させるとすると、回帰係数aは、以下の式(数1)から求められる。
【0043】
【数1】
【数2】
そして、上式(数1)により求められた回帰系数の列a1,a2,...,aN-T+1の中で最も大きい回帰係数amを、異常検出の上限MAXaとして定め、これを閾値として設定する。なお、この処理は時系列的に繰り返し行い、閾値も1分毎に更新する。
【0045】
次にリアルタイムに測定した全てのパケットの時系列ALLk(k=1,2,3,...,j,...,j+N)に対し、評価周期を同じくTとして、評価時点jの回帰係数をa0とする。この回帰係数a0がMAXaより大きければトラフィックの増加率があらかじめ設定されている閾値を超えていると判断される。
【0046】
一方、図4の(S1003)の処理で求められる類似度は、例えば、類似関数を用いて算出される。ここで類似関数とは、2つのパターンの相関関係を求めるものである。例えば、観測点iと観測点jで観測されたパターンを比較する場合、評価するパターンの各点をLi=(n1,n2,...,nN),Lj=(m1,m2,...,mN)とすると、この2つのパターンの類似度rは次式(数3)から求められる。
【0047】
【数3】
【数4】
【0048】
===検証事例===
上述した異常検知プログラムの検証事例について紹介する。図5にこの検証のために用いたコンピュータシステムの構成を示している。コンピュータシステムは、複数の情報処理装置(コンピュータ)とこれらを互いに通信可能に接続しているLAN600とを含んで構成される。この図において、異常検知プログラムは、上記情報処理装置の一つであるモニタコンピュータ602上で動作している。つまり、モニタコンピュータ602は、上述の監視装置101に相当する。上記情報処理装置の一つであるサーバコンピュータ601は、異常検知プログラムの監視対象となるコンピュータである。上記情報処理装置の一つであるクライアントコンピュータ1乃至3(604)は、サーバコンピュータ601に対して、不正なデータパケットを送信するコンピュータである。つまり、クライアントコンピュータ1乃至3(604)は、クラッカー等により不正アクセスがなされることにより不正なデータパケットをサーバコンピュータ601に対して送信する不正なプログラムを仕組まれて、サーバコンピュータ601に対するDoS攻撃を行っているコンピュータに相当する。上記情報処理装置の一つであるローダコンピュータ603は、サーバコンピュータ601に対して、正常なデータパケットを送信するコンピュータである。つまり、ローダコンピュータ603は、サーバコンピュータ601との間で正常な通信を行っているコンピュータに相当する。
【0049】
上記構成からなるコンピュータシステムにおいて、DoS攻撃が発生していない正常な状態のサーバコンピュータ601に対して送信されてくるトラフィックの推移の測定結果を図6に示している。ここでは最小二乗法により5分間毎にトラフィックの回帰係数を求めている。図7は回帰係数の時系列的な変化を示したものである。図7では、11時28分に最も大きな回帰係数(144.5)が計測されている。そこで、この例では、異常検出の閾値として144.5を設定することとしている。また、類似度の判定値として0.9を設定する。ここで類似度が判定値を超えている場合には、類似すると判定し、類似度が判定値以下である場合には、類似しないと判定する。
【0050】
検証は、クライアントコンピュータ1乃至3(604)が、DoS攻撃として、ICMP攻撃、UDP攻撃、SYN−Flood攻撃の3種類の攻撃を行う場合について行った。以下、各種類ごとの検証結果について説明する。
【0051】
まずICMP攻撃の場合について説明する。ここでICMP攻撃とは、ICMPエコー要求(ICMP Echo Request)に対するICMPエコー応答(ICMP Echo Reply)が特定のアドレスに集中するように、元のICMPエコー要求パケットの送信元のアドレスを偽造するものである。
【0052】
図8は、ICMP攻撃がされた場合における16時35分から16時50分までの間に取得したトラフィックパターンを示す図である。この例では、最小二乗法より16時44分まで5分間のトラフィックパターンの近似回帰直線の回帰係数が2148.1と求められ、この値は、閾値として設定されている144.5を超えているので、続いて類似度の計算が行われる。ここでは、取得されたトラフィックの時間的な変化のパターンと、記憶している時間的なトラフィックの変化のパターンとの類似度の計算が行われる。なお、ここで記憶している時間的なトラフィックの変化のパターンは、ICMP攻撃についてのパターンである。
【0053】
図9はICMP攻撃がされた場合における類似性の検出結果である。この図に示すように、類似度は0.999856と求められている。ここでこの類似度は、あらかじめ設定しておいた類似度の判定値である0.9を超えているので、ここで取得されたトラフィックの時間的な変化のパターンと、記憶している時間的なトラフィックの変化のパターンとは類似していると判断される。以上の結果から、サーバコンピュータ601に対してICMP攻撃が行われていると判断される。
【0054】
次にUDP攻撃の場合について説明する。ここでUDP攻撃は、攻撃対象の情報処理装置に対し大量のUDPパケットを送りつけ、情報処理装置の処理能力やネットワークの帯域を消費させる攻撃である。具体的には、大量のUDPパケットが攻撃対象となる情報処理装置の適当なポートに対して送信されると、当該情報処理装置は届いたUDPパケット1つ1つに対して、サービスを提供していない旨を示す「ICMP port unreachable」というメッセージで応答しようとする。しかし、送信されるUDPパケットが大量なため、その大量のパケットひとつひとつに対して上記応答を行うことによって、攻撃対象となる情報処理装置の処理能力を消費させることになる。また、トラフィックの増加により通信帯域の低下を引き起こすことにもなる。
【0055】
図10はUDP攻撃がされた場合におけるトラフィックの推移の測定結果である。この図に示すように、最小二乗法より2時20分までの5分間のトラフィックパターンの近似回帰直線の回帰係数が1835.7と求められている。この値は、閾値として設定されている144.5を超えているので、続いて類似度の計算が行われる。ここでは、取得されたトラフィックの時間的な変化のパターンと、記憶している時間的なトラフィックの変化のパターンとの類似度の計算が行われる。なお、ここで記憶している時間的なトラフィックの変化のパターンは、UDP攻撃についてのパターンである。
【0056】
図11はUDP攻撃がされた場合における類似性の検出結果である。この図に示すように、類似度として0.980201が求められている。ここでこの類似度は、あらかじめ設定しておいた類似度の判定値である0.9を超えているので、ここで取得されたトラフィックの時間的な変化のパターンと、記憶している時間的なトラフィックの変化のパターンとは類似していると判断される。以上の結果から、サーバコンピュータに対してUDP攻撃が行われていると判断される。
【0057】
次にSYN−Flood攻撃の場合について説明する。ここでSYN−Flood攻撃は、TCPサービスに対し、接続要求(SYNパケット)を大量に送りつけ、そのサービスの処理能力を消費させる攻撃である。SYN−Flood攻撃はTCPサービスのコネクションを確立するのに3ウェイハンドシェイク(3 Way Handshake)の欠陥を利用し、ターゲットに対し大量のSYNパケットを高速に送信し、情報処理装置を待ち受け状態に陥れる。つまり、SYN攻撃される場合には、情報処理装置のパッシブオープンのTCPコネクション数が急激に増加することになる。SYN−Flood攻撃に対しては、全てのパケットとTCPコネクションのトラフィックパターンの類似性の判定ではなく、パッシブオープンのTCPコネクション数を比較し、類似しているかどうかを判定する。つまり、TCP接続がLISTEN状態からSYN−REVD状態に直接移行した回数を入手する。この回数は、例えばサーバ601のIPアドレスが192.168.0.1とすると、モニタサーバ604から「Target[192.168.0.1]:1.3.6.1.2.1.4.3.0&1.3.6.1.2.1.6.6.0:public@192.168.0.1:」としてSNMPで入手できる。
【0058】
図12は、SYN−Flood攻撃がされた場合におけるトラフィックの推移の測定結果である。この図に示すように、最小二乗法より7時20分までの5分間のトラフィックパターンの近似回帰直線の回帰係数が1204.1と求められている。この値は、閾値として設定されている144.5を超えているので、続いて類似度の計算が行われる。
【0059】
図13は、SYN−Flood攻撃がされた場合における類似性の検出結果である。ここでは、取得されたトラフィックの時間的な変化のパターンと、記憶している時間的なトラフィックの変化のパターンとの類似度の計算が行われる。なお、ここで記憶している時間的なトラフィックの変化のパターンは、SYN−Flood攻撃についてのパターンである。ここでは、類似度として、0.999579と求められる。ここでこの類似度は、あらかじめ設定しておいた類似度の判定値である0.9を超えているので、ここで取得されたトラフィックの時間的な変化のパターンと、記憶している時間的なトラフィックの変化のパターンとは類似していると判断される。以上の結果から、サーバコンピュータに対してSYN−Flood攻撃が行われていると判断される。
【0060】
以上により、異常検知プログラムによって、DoS攻撃の典型例であるICMP攻撃、UDP攻撃、SYN−Flood攻撃について、正確かつ迅速な検知を行うことができることが確認された。
【0061】
以上本実施の形態について説明したが、上記実施例は本発明の理解を容易にするためのものであり、本発明を限定して解釈するためのものではない。本発明はその趣旨を逸脱することなく変更、改良され得ると共に、本発明にはその等価物も含まれる。
【0062】
【発明の効果】
本発明によれば、通信ネットワークにおいて生じている不正アクセスに対して迅速かつ確実な防御を可能とする、情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法を提供することができる。
【図面の簡単な説明】
【図1】本発明の一実施例による情報処理システムの全体構成を示す図である。
【図2】本発明の一実施例による監視装置101のハードウエア構成の一例を示す図である。
【図3】本発明の一実施例による異常情報受信装置201のハードウエア構成の一例を示す図である。
【図4】本発明の一実施例による異常検知プログラムが外部ネットワークの通信状態の異常を検知する処理を説明するフローチャートを示す図である。
【図5】本発明の一実施例による異常検知プログラムの検証のために用いたコンピュータシステムの構成を示す図である。
【図6】本発明の一実施例によるDoS攻撃が発生していない正常な状態のサーバコンピュータ601に対して送信されてくるトラフィックの推移の測定結果を示す図である。
【図7】本発明の一実施例による回帰係数の時系列的な変化を示す図である。
【図8】本発明の一実施例によるICMP攻撃がされた場合におけるトラフィックの推移の測定結果を示す
【図9】本発明の一実施例によるICMP攻撃がされた場合における類似性の検出結果である。
【図10】本発明の一実施例によるUDP攻撃がされた場合におけるトラフィックの推移の測定結果を示す
【図11】本発明の一実施例によるUDP攻撃がされた場合における類似性の検出結果である。
【図12】本発明の一実施例によるSYN−Flood攻撃がされた場合におけるトラフィックの推移の測定結果を示す
【図13】本発明の一実施例によるSYN−Flood攻撃がされた場合における類似性の検出結果である。
【符号の説明】
100 プロバイダ側ネットワーク
101 監視装置
102 ルータ
103 ルータ
104 コンピュータ
200 ユーザ側ネットワーク
201 異常情報受信装置
202 ルータ
203 コンピュータ
300 インターネット
400 通信線
500 通信経路
Claims (9)
- インターネットに接続しているプロバイダ側ネットワークと、前記インターネット又は前記プロバイダ側ネットワークを流れるトラフィックを監視する第1の情報処理装置と、前記プロバイダ側ネットワークに通信ネットワークを介して接続しているユーザ側ネットワークと、当該ユーザ側ネットワークに接続している第2の情報処理装置と、前記第1及び第2の情報処理装置を接続する、前記通信ネットワークとは異なる通信経路と、を備えて構成され、
前記第1の情報処理装置が、前記インターネット又は前記プロバイダ側ネットワークを流れるトラフィックが所定量を超えていることを検知した場合に、その旨を前記異なる通信経路を介して、前記ユーザ側ネットワークに接続している前記第2の情報処理装置に通知する手段を備え、
前記第2の情報処理装置が、前記第1の情報処理装置から前記通知を受けた場合に、前記インターネット又は前記プロバイダ側ネットワークを介して前記ユーザ側ネットワークに送信されてくる全部もしくは一部のデータを受信しないように制御する手段を備える、ことを特徴とする情報処理システム。 - 請求項1に記載の情報処理システムにおいて、
前記インターネット又は前記プロバイダ側ネットワークを流れるトラフィックには、前記ユーザ側ネットワークを送信先としないデータパケットが含まれていること、を特徴とする情報処理システム。 - 請求項1に記載の情報処理システムにおいて、
前記第1の情報処理装置が前記インターネット又は前記プロバイダ側ネットワークを流れるトラフィックを監視する手段は、前記インターネット又は前記プロバイダ側ネットワークを流れる前記ユーザ側ネットワークに向けて送信されるトラフィックの増加率が閾値を超えていることを検知した場合に、前記トラフィックの時間的な変化のパターンと、記憶しているトラフィックの時間的な変化のパターンとの類似度を求め、前記類似度に応じて前記トラフィックに異常があることを示す情報を出力すること、を特徴とする情報処理システム。 - 請求項3に記載の情報処理システムにおいて、
前記トラフィックの異常は前記通信ネットワークにおいて行われる不正アクセスに起因して生じたものであり、
前記第1の情報処理装置は、
前記トラフィックの時間的な変化のパターンとして不正アクセスの種類に対応する一つ以上のトラフィックの時間的な変化のパターンを記憶しており、
前記トラフィックの時間的な変化のパターンと、前記記憶している一つ以上の変化のパターンの夫々との類似度に基づいて、不正アクセスの種類を判別する手段を備えること、を特徴とする情報処理システム。 - 請求項4に記載の情報処理システムにおいて、
前記不正アクセスの種類に対応する変化パターンには、ICMP攻撃によるもの、UDP攻撃によるもの、SYN−Flood攻撃によるもののうち少なくともいずれかが含まれること、を特徴とする情報処理システム。 - 請求項1乃至5のいずれかに記載の情報処理システムにおいて、
前記異なる通信経路は、専用線、ISDN網、公衆電話網、光パスネットワークのうち少なくともいずれかを用いて構成されるものであること、を特徴とする情報処理システム。 - 請求項1乃至6のいずれかに記載の情報処理システムにおいて、
複数の前記第1の情報処理装置を前記インターネット又は前記プロバイダ側ネットワーク上に分散させて接続すること、を特徴とする情報処理システム。 - 請求項1乃至7のいずれかに記載の情報処理システムにおいて、
前記第1の情報処理装置による前記第2の情報処理装置への通知が、不正なデータパケットを送信している送信元アドレス、又は不正データパケットのパケットタイプを含むこと、を特徴とする情報処理システム。 - インターネットに接続しているプロバイダ側ネットワークと、前記インターネット又は前記プロバイダ側ネットワークを流れるトラフィックを監視する第1の情報処理装置と、前記プロバイダ側ネットワークに通信ネットワークを介して接続しているユーザ側ネットワークと、当該ユーザ側ネットワークに接続している第2の情報処理装置と、前記第1及び第2の情報処理装置を接続する、前記通信ネットワークにおける通信より高速な通信が可能な、前記通信ネットワークとは異なる通信経路と、を備えて構成され、
前記第1の情報処理装置が、前記インターネット又は前記プロバイダ側ネットワークを流れるトラフィックが所定量を超えていることを検知した場合に、その旨を前記異なる通信経路を介して、前記ユーザ側ネットワークに接続している前記第2の情報処理装置に通知する手段を備え、
前記第2の情報処理装置が、前記第1の情報処理装置から前記通知を受けた場合に、前記インターネット又は前記プロバイダ側ネットワークを介して前記ユーザ側ネットワークに送信されてくる全部もしくは一部のデータを受信しないように制御する手段を備える、ことを特徴とする情報処理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003151606A JP4259183B2 (ja) | 2003-05-28 | 2003-05-28 | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003151606A JP4259183B2 (ja) | 2003-05-28 | 2003-05-28 | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004356915A JP2004356915A (ja) | 2004-12-16 |
| JP4259183B2 true JP4259183B2 (ja) | 2009-04-30 |
Family
ID=34047075
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003151606A Expired - Fee Related JP4259183B2 (ja) | 2003-05-28 | 2003-05-28 | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4259183B2 (ja) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4711696B2 (ja) * | 2005-02-17 | 2011-06-29 | 株式会社エヌ・ティ・ティ・ドコモ | データ通信管理システム、移動体端末および移動体端末制御プログラム |
| JP4545647B2 (ja) * | 2005-06-17 | 2010-09-15 | 富士通株式会社 | 攻撃検知・防御システム |
| US20070033650A1 (en) * | 2005-08-05 | 2007-02-08 | Grosse Eric H | Method and apparatus for defending against denial of service attacks in IP networks by target victim self-identification and control |
| JP4654092B2 (ja) * | 2005-08-25 | 2011-03-16 | 日本電信電話株式会社 | Sipサーバにおける攻撃防御方法、システム及びプログラム |
| KR101343693B1 (ko) | 2007-02-05 | 2013-12-20 | 주식회사 엘지씨엔에스 | 네트워크 보안시스템 및 그 처리방법 |
| JP2008227848A (ja) * | 2007-03-12 | 2008-09-25 | Nippon Telegr & Teleph Corp <Ntt> | ルーティング装置、経路情報交換方法、通信システムおよびコンピュータプログラム |
| JP5732745B2 (ja) * | 2010-05-13 | 2015-06-10 | 富士通株式会社 | ネットワーク装置、認証方式決定方法および認証方式決定プログラム |
| US9119075B2 (en) | 2011-03-17 | 2015-08-25 | Nec Corporation | Communication system, base station, and countermeasure method against cyber attack |
| JP5874355B2 (ja) * | 2011-11-30 | 2016-03-02 | 村田機械株式会社 | 中継サーバ及び中継通信システム |
| JP5920169B2 (ja) * | 2012-10-22 | 2016-05-18 | 富士通株式会社 | 不正コネクション検出方法、ネットワーク監視装置及びプログラム |
| JP5911439B2 (ja) | 2013-01-28 | 2016-04-27 | 三菱電機株式会社 | 監視制御システム |
| JP2016129346A (ja) * | 2016-01-28 | 2016-07-14 | 三菱電機株式会社 | 監視制御システム |
| JP6662267B2 (ja) * | 2016-10-26 | 2020-03-11 | トヨタ自動車株式会社 | 攻撃通知システムおよび攻撃通知方法 |
| JP6585133B2 (ja) * | 2017-06-02 | 2019-10-02 | 株式会社三菱Ufj銀行 | 通信経路制御システム |
| CN111817898B (zh) * | 2020-07-21 | 2023-04-28 | 致诚阿福技术发展(北京)有限公司 | 一种识别动态网络结构异常的方法及装置 |
| CN116319398A (zh) * | 2021-12-21 | 2023-06-23 | 华为技术有限公司 | 一种网络巡检方法、网络设备及网络管理设备 |
-
2003
- 2003-05-28 JP JP2003151606A patent/JP4259183B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004356915A (ja) | 2004-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11924170B2 (en) | Methods and systems for API deception environment and API traffic control and security | |
| Dayal et al. | Research trends in security and DDoS in SDN | |
| US8156557B2 (en) | Protection against reflection distributed denial of service attacks | |
| US12069092B2 (en) | Network security attack detection and mitigation solution using honeypots | |
| KR100796996B1 (ko) | 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치 | |
| EP1905197B1 (en) | System and method for detecting abnormal traffic based on early notification | |
| JP4259183B2 (ja) | 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法 | |
| US11005865B2 (en) | Distributed denial-of-service attack detection and mitigation based on autonomous system number | |
| US10911473B2 (en) | Distributed denial-of-service attack detection and mitigation based on autonomous system number | |
| US20060212572A1 (en) | Protecting against malicious traffic | |
| KR20110089179A (ko) | 네트워크 침입 방지 | |
| Chen et al. | Collaborative change detection of DDoS attacks on community and ISP networks | |
| KR101042291B1 (ko) | 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 | |
| US20040250158A1 (en) | System and method for protecting an IP transmission network against the denial of service attacks | |
| Wang et al. | Efficient and low‐cost defense against distributed denial‐of‐service attacks in SDN‐based networks | |
| Arafat et al. | A practical approach and mitigation techniques on application layer DDoS attack in web server | |
| EP1461704B1 (en) | Protecting against malicious traffic | |
| CN107018116A (zh) | 监控网络流量的方法、装置及服务器 | |
| Webb et al. | Finding proxy users at the service using anomaly detection | |
| Nigam et al. | Man-in-the-middle-attack and proposed algorithm for detection | |
| JP4753264B2 (ja) | ネットワーク攻撃を検出するための方法、装置、およびコンピュータ・プログラム(ネットワーク攻撃の検出) | |
| Du et al. | Mantlet trilogy: ddos defense deployable with innovative anti-spoofing, attack detection and mitigation | |
| Song et al. | Collaborative defense mechanism using statistical detection method against DDoS attacks | |
| Yarımtepe et al. | Distributed Denial of Service Prevention Techniques | |
| Priya et al. | Detecting DRDoS attack by Log File based IP pairing mechanism |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060410 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071026 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071120 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080121 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080708 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080904 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090106 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090202 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120220 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130220 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140220 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |